No podemos pasar por alto una inquietante alerta de Apache Tomcat sobre varias ramas de su servidor de aplicaciones web correspondientes a la 7.0.x, 6.0.x y 5.5.x. Investigaciones recientes del equipo de seguridad de Apache Tomcat han revelado que el uso ineficiente que hacer Tomcat al procesar un gran número de parámetros y valores de las peticiones HTTP podría causar una saturación de los servidores al consumir una gran cantidad de CPU:
Esta vulnerabilidad podría ser explotada con fines maliciosos y provocar un ataque DoS (denegación de servicio) sobre las páginas y aplicaciones web que usen dichas versiones de Tomcat.
El escenario de amenaza básico podría ser una simple petición con un gran número de parámetros, incluso hacer clic en un enlace que genere una petición HTTP especialmente diseñada para lanzar un ataque, tal como explicó en el pasado 28 Chaos Communication Congress. Se advirtió que los métodos de hashing para encontrar los objetos individuales en grandes cantidades de datos son los responsable de esta vulnerabilidad común en lenguajes como PHP, ASP.NET, Java y Python.
Se recomienda que se tomen las precauciones oportunas y que se actualice a las correspondientes versiones que solventan esta vulnerabilidad: Tomcat 7.0.23, 6.0.35 y 5.5.35.
De momento, hay que tener en cuenta que esta solución es temporal, ya que simplemente se ha fijado un nuevo parámetro de configuración (maxParameterCount) que fija el número máximo de parámetros de entrada en una sola petición en 10.000.
Vía | Apache Tomcat Security Team